东方幕华祭手记

十二

似乎程序是DEMO版本的，于是就跟了一下。程序没有明显的ANTI、也没加壳。

用LordPE打开Game.exe查看输入表并没有把全部函数写进输入表。也就是说程序通过LoadLibrary和GetProcAddress获取了函数。

Game通过ScriptManager.dll的LoadLibraryA相继载入了对应的模块。

但是lua5.dll并没有载入它被CreateFile了也就是说它是个数据文件而非是个模块。

OD - F3 打开Game CreateFileA

 

1. 0012FC18   77BFF45D  /CALL 到 CreateFileA 来自 MSVCRT.77BFF457
   
2. 0012FC1C   00154760  |FileName = "C:\Documents and Settings\Owner\桌面\新建文件夹\lua5.dll"
   
3. 0012FC20   80000000  |Access = GENERIC_READ
   
4. 0012FC24   00000003  |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
   
5. 0012FC28   0012FC44  |pSecurity = 0012FC44
   
6. 0012FC2C   00000003  |Mode = OPEN_EXISTING
   
7. 0012FC30   00000080  |Attributes = NORMAL
   
8. 0012FC34   00000000  \hTemplateFile = NULL
   
9. 0012FC38   003B20BD  ScriptMa.003B20BD
   

复制代码

以上是CreateFile的栈情况。ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE该文件可以被共享读写访问。

取消CreateFile断点给ReadFile下断。

1. 0012FC88   77BFF941  /CALL 到 ReadFile 来自 MSVCRT.77BFF93B
   
2. 0012FC8C   0000000C  |hFile = 0000000C
   
3. 0012FC90   003CAB20  |Buffer = 003CAB20
   
4. 0012FC94   00001000  |BytesToRead = 1000 (4096.)
   
5. 0012FC98   0012FCAC  |pBytesRead = 0012FCAC
   
6. 0012FC9C   00000000  \pOverlapped = NULL
   
7. 0012FCA0   77C32440  OFFSET MSVCRT.__pioinfo
   

复制代码

以上是栈情况意思是从lua5.dll复制1000h到003CAB20偏移处，跟踪003CAB20处，取消断点，然后Ctrl+F9返回。

lua5.dll的数据被填充，取消所有断点，给CreateFileA、ReadFile下断直到FileName=elements.dat。 看栈  

1. 0012F54C   10104D0C  /CALL 到 ReadFile 来自 D2D.10104D06
   
2. 0012F550   00000358  |hFile = 00000358 (window)
   
3. 0012F554   00CA5CE8  |Buffer = 00CA5CE8
   
4. 0012F558   00001000  |BytesToRead = 1000 (4096.)
   
5. 0012F55C   0012F5C8  |pBytesRead = 0012F5C8
   
6. 0012F560   00000000  \pOverlapped = NULL
   
7. 
   

复制代码

可以看到和lua5.dll的读取大小一致，后面就是解密算法了。

到此，说说窗口和其他的东西。

同样给CreateWindowExA即可，题外话创建了很多子窗。

大部分流程都走D2D.DLL

socket.dll则创建了弹出式对话框和midi子窗

1. 0012F8FC   054397F6  /CALL 到 CreateWindowExA 来自 socket.054397F0
   
2. 0012F900   00000000  |ExtStyle = 0
   
3. 0012F904   05463600  |Class = "WTWindow"
   
4. 0012F908   05473A1C  |WindowName = ""
   
5. 0012F90C   22400000  |Style = WS_OVERLAPPED|WS_CLIPCHILDREN|WS_MINIMIZE|WS_DLGFRAME
   
6. 0012F910   00000032  |X = 32 (50.)
   
7. 0012F914   00000032  |Y = 32 (50.)
   
8. 0012F918   00000038  |Width = 38 (56.)
   
9. 0012F91C   0000001D  |Height = 1D (29.)
   
10. 0012F920   00B90E2C  |hParent = 00B90E2C (class='Afx:53c0000:0:10011:1900015:0')
    
11. 0012F924   00000000  |hMenu = NULL
    
12. 0012F928   053C0000  |hInst = 053C0000
    
13. 0012F92C   00000000  \lParam = NULL
    
14. 
    

复制代码

到此基本上就结束了如果想知道跟多过程可以跟踪消息来看D2D处理的流程比如给HGE__WNDCLASS类下按键消息。

百度了一下似乎是D2D的引擎。

神符影之歌

头晕，假期想拜师跟12君学OD~~~算了暂时只是想想而已~~

十二

补充 dat 为 ZIP格式文档。  有密码 = =

pa001024

早就发现了，12菌为什么不跟一下然后吧密码爆出来

pa001024

回复 4# pa001024


    另外关于这个游戏的引擎= =在文件的属性里面不是写得相当清楚了么…………EDGAME MAKER制作
= =另外调用易语言的DLL抓包

十二

我并没注意  只是拿到Demo后就习惯的开OD跟了一下

回复 4# pa001024


        无能一步一步跟不晓得PAKZIP怎么解密 = = 

十二

部分脚本？(雾)  引擎内部好复杂 = =

dump.rar (28.59 KB, 下载次数: 359)

2010-12-24 15:00 上传

点击文件名下载附件

阿燐燐

这脚本居然用中文作变量名，太牛了